Egyszeri bejelentkezés beállítása a Microsoft Entra ID használatával a Spring Cloud Gatewayhez és az API Portalhoz

Ez a cikk a következőre vonatkozik:❌ Basic/Standard ✔️ Enterprise

Ez a cikk bemutatja, hogyan konfigurálhatja az egyszeri bejelentkezést (SSO) a Spring Cloud Gatewayhez vagy az API Portalhoz a Microsoft Entra ID-val OpenID azonosító szolgáltatóként.

Előfeltételek

• Vállalati csomagpéldány, amelyen engedélyezve van a Spring Cloud Gateway vagy az API Portal. További információ : Rövid útmutató: Alkalmazások létrehozása és üzembe helyezése az Azure Spring Appsben a Nagyvállalati csomag használatával.
• Megfelelő engedélyek a Microsoft Entra-alkalmazások kezeléséhez.

Az egyszeri bejelentkezés a Spring Cloud Gatewayhez vagy az API Portalhoz való engedélyezéséhez a következő négy tulajdonságot kell konfigurálnia:

Egyszeri bejelentkezés tulajdonság	Microsoft Entra konfiguráció
clientId	Lásd: Alkalmazás regisztrálása
clientSecret	Lásd: Ügyfélkód létrehozása
hatálya	Lásd: Hatókör konfigurálása
issuerUri	Lásd: Kiállítói URI létrehozása

A tulajdonságokat a Következő lépésekben konfigurálhatja a Microsoft Entra-azonosítóban.

Végpont hozzárendelése a Spring Cloud Gatewayhez vagy az API Portalhoz

Először le kell szereznie a hozzárendelt nyilvános végpontot a Spring Cloud Gatewayhez és az API Portalhoz az alábbi lépések végrehajtásával:

1. Nyissa meg a nagyvállalati csomagszolgáltatás-példányt az Azure Portalon.
2. A bal oldali menüben válassza a Spring Cloud Gateway vagy az API Portallehetőséget a VMware Tanzu-összetevők alatt.
3. Válassza a Végpont hozzárendelése mellett az Igen lehetőséget.
4. Másolja ki a cikk következő szakaszában használt URL-címet.

Microsoft Entra-alkalmazásregisztráció létrehozása

Regisztrálja az alkalmazást, hogy megbízhatósági kapcsolatot létesítsen az alkalmazás és a Microsoft Identitásplatform között az alábbi lépések végrehajtásával:

1. A kezdőképernyőn válassza a Microsoft Entra-azonosítót a bal oldali menüből.
2. Válassza az Alkalmazásregisztrációk lehetőséget a Kezelés területen, majd válassza az Új regisztráció lehetőséget.
3. Adja meg az alkalmazás megjelenítendő nevét a Név területen, majd válasszon ki egy fióktípust, amelyet a támogatott fióktípusok között szeretne regisztrálni.
4. Az Átirányítási URI -ban (nem kötelező) válassza a Web lehetőséget, majd írja be a szövegmező fenti szakaszának URL-címét. Az átirányítási URI az a hely, ahol a Microsoft Entra ID átirányítja az ügyfelet, és biztonsági jogkivonatokat küld a hitelesítés után.
5. Az alkalmazás regisztrálásának befejezéséhez válassza a Regisztráció lehetőséget.

Amikor a regisztráció befejeződik, az alkalmazás (ügyfél) azonosítója megjelenik a Alkalmazásregisztrációk* lap Áttekintés képernyőjén.

Átirányítási URI hozzáadása alkalmazásregisztráció után

Az átirányítási URI-kat az alkalmazásregisztráció után is hozzáadhatja az alábbi lépések végrehajtásával:

1. Az alkalmazás áttekintésében a bal oldali menü Kezelés területén válassza a Hitelesítés lehetőséget.
2. Válassza a Web lehetőséget, majd az Átirányítási URI-k alatt válassza az URI hozzáadása lehetőséget.
3. Adjon hozzá egy új átirányítási URI-t, majd válassza a Mentés lehetőséget.

További információ az alkalmazásregisztrációról: Rövid útmutató: Alkalmazás regisztrálása a Microsoft Identitásplatform.

Titkos ügyfélkód hozzáadása

Az alkalmazás egy ügyfélkulcs használatával hitelesíti magát az egyszeri bejelentkezés munkafolyamatában. Az ügyfél titkos kódjának hozzáadásához kövesse az alábbi lépéseket:

1. Az alkalmazás áttekintésében a bal oldali menü Kezelés területén válassza a Tanúsítványok > titkos kódok lehetőséget.
2. Válassza az Ügyfél titkos kulcsok lehetőséget, majd válassza az Új ügyfélkulcs lehetőséget.
3. Adja meg az ügyfél titkos kódjának leírását, majd adjon meg egy lejárati dátumot.
4. Válassza a Hozzáadás lehetőséget.

Figyelmeztetés

Ne felejtse el biztonságos helyre menteni az ügyfél titkos kulcsát. A lap elhagyása után nem kérhető le. Az ügyfél titkos kódját az alkalmazásként való bejelentkezéskor meg kell adni az ügyfélazonosítóval.

Hatókör konfigurálása

Az scope egyszeri bejelentkezés tulajdonsága a JWT-identitásjogkivonatokban szerepeltetni kívánt hatókörök listája. Ezeket gyakran engedélyeknek nevezik. Az identitásplatform számos OpenID-Csatlakozás hatókört támogat, például openida . emailprofile További információ: OpenID Csatlakozás Hatókörök és engedélyek szakasz a Microsoft Identitásplatform.

Kiállítói URI konfigurálása

A kiállító URI-ja az a URI, amelyet a kibocsátó azonosítójaként kell érvényesíteni. Ha például a megadott kiállító-uri, https://example.comakkor a rendszer egy OpenID-szolgáltató konfigurációs kérését küldi el a következőhöz https://example.com/.well-known/openid-configuration: .

A Microsoft Entra-azonosító kiállítói URI-ja hasonló <authentication-endpoint>/<Your-TenantID>/v2.0. Cserélje le <authentication-endpoint> a felhőkörnyezet hitelesítési végpontját (például https://login.microsoftonline.com globális Azure-ra), és cserélje le <Your-TenantID> az alkalmazást regisztráló címtár-(bérlői) azonosítóra.

Egyszeri bejelentkezés konfigurálása

A Microsoft Entra-alkalmazás konfigurálása után az alábbi lépések végrehajtásával állíthatja be a Spring Cloud Gateway vagy az API Portal SSO-tulajdonságait:

1. A bal oldali menüben válassza a Spring Cloud Gateway vagy az API Portallehetőséget a VMware Tanzu-összetevők alatt, majd válassza a Konfiguráció lehetőséget.
2. Adja meg a Scope, Client Id, Client Secretés Issuer URI a megfelelő mezőket. Több hatókör elkülönítése vesszővel.
3. Válassza a Mentés lehetőséget az egyszeri bejelentkezés konfigurálásának engedélyezéséhez.

Feljegyzés

Az egyszeri bejelentkezés tulajdonságainak konfigurálása után ne felejtse el engedélyezni az egyszeri bejelentkezést a Spring Cloud Gateway-útvonalakhoz a beállítással ssoEnabled=true. További információ: útvonalkonfiguráció.

Következő lépések

• Útvonalak konfigurálása